Japan
サイト内の現在位置を表示しています。
UNIVERGE IXシリーズ 障害切り分けガイドライン
1章 インターネットVPNでの障害切り分け方法事例3 IPsecを使ったVPNでスループットが出ない、特定サイトにアクセスできない
確認ポイントに沿って確認を行います。
確認ポイント
- UFSキャッシュ機能が有効化されているか
- パケットにDF-bitがセットされていないか
- パケットのフラグメントが頻繁に発生していないか
確認ポイント1 UFSキャッシュ機能が有効化されているか
IXルータでは各機能毎に保持しているキャッシュを一元化して管理する機能をUFSキャッシュと呼んでおり、本機能を有効化することで高速な転送を実現できます。
UFSキャッシュ機能が有効化されていない場合は、以下のコマンドでUFSキャッシュを有効化していただき、スループットが改善されるかご確認ください。
Router(config)# ip ufs-cache enable
確認ポイント2 パケットにDF-bitがセットされていないか
DF-bitがセットされたIPsec暗号化対象のパケットがIPsecトンネルのMTU長(送信可能な最大サイズ)を超えていると、フラグメントを行えずパケットは廃棄されてしまいます。
IXルータではフラグメント失敗でパケットを廃棄した場合、送信元の端末にICMPエラーを返しますが、このICMPエラーがファイアウォール等で廃棄されると、“Pass MTU Black-Hole問題”によって「特定サイトにアクセスできない」、「特定のアプリケーションだけ通信ができない」と言った事象が発生します。
⇒"show ip traffic"コマンドを実行し、フラグメント失敗を示すカウンタ(frag fails)が計上されていないかご確認ください。
Router(config)# show ip traffic
IP statistics:
Rcvd: 1690 receives, 0 hdr errors, 0 addr errors
0 unknown protos, 0 discards, 4 delivers
610 reasm reqs, 305 reasm oks, 0 reasm fails
Sent: 1073 forwards, 771 requests, 0 discards
305 frag oks, 447 frag fails, 610 frag creates
0 no routes
Mcast: 0 in pkts, 0 out pkts
確認ポイント3 パケットのフラグメントが頻繁に発生していないか
IPsecカプセル化時にフラグメントが頻繁に発生し、スループットが低下している可能性が考えられます。
⇒"show ip traffic"コマンドを実行し、「frag creates」のカウンタをご確認ください。
Router(config)# show ip traffic
IP statistics:
Rcvd: 1690 receives, 0 hdr errors, 0 addr errors
0 unknown protos, 0 discards, 4 delivers
610 reasm reqs, 305 reasm oks, 0 reasm fails
Sent: 1073 forwards, 771 requests, 0 discards
305 frag oks, 447 frag fails, 610 frag creates
0 no routes
Mcast: 0 in pkts, 0 out pkts
「frag fails」のカウンタが計上されている場合や「frag creates」のカウンタが非常に多い場合は、以下の対処を行ってください。
■廃棄/フラグメントされている通信がTCPの場合
トンネルインタフェースに「TCP-MSS自動調整」の設定を追加します。
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
■廃棄/フラグメントされている通信がTCP以外(UDP等)の場合
端末側の設定でフラグメントが発生しないサイズまでパケットサイズを小さくしてください。
DF-bitがセットされていることによる廃棄であれば、トンネルインタフェースに強制フラグメントの設定(df-bit ignore)を追加することでも廃棄を回避することが可能です。但し、通信量が多いとフラグメントによってスループットが低下する可能性があります。
Router(config-Tunnel0.0)# ipsec policy tunnel auto-map df-bit ignore
IX3010の場合、スループット低下の要因としてライセンスキー未投入も考えられます。
IXルータ以外の要因としては、端末のファイアウォールや他のネットワーク機器による廃棄、網内での遅延/廃棄が考えられます。
資料請求・お問い合わせ